我有一个要求是在2.6.32的linux内核上提供一个高度可用的MySQL数据库和静态encryption。 “高可用性”部分并不难,但与HA结合使用时,“静态encryption”被certificate是一个挑战。 关键问题是安装encryption存储。 在我们所有其他的静态encryption系统中,都有一个命令需要由一个人运行,然后被提示inputencryption密钥。 这种模式在集群安排中有一个相当明显的缺陷,那就是服务必须自动启动。 目前,我对如何在高可用性环境下提供静态encryption以及不在同一系统上存储密钥密码短语感到茫然。 我可以看到两种可能的情况,其中任何一种都可以与我的环境一起工作,但是我不确定这些细节如何使它们起作用。 或者即使这是可能的。 场景1:CLVM和群集 卷在我的群集成员之间共享。 本卷大致设置为: cryptsetup东西在物理设备上 LVM的东西在新的crypt设备上 群集服务设置为不自动join群集,依靠手动干预。 群集服务通过人运行的命令启动,提供解密密钥,然后激活CLVM的东西。 这样,正在运行的节点就可以访问CLVM卷,因此它们可以在集群pipe理器告知时启动服务。 节点的重新启动仍然需要一个人,并且密码密码从不保存在任何地方的磁盘上。 情景2:DRBD和群集 每个群集成员上都创build一个卷 cryptsetup的东西在物理设备上运行 drbd被configuration在encryption的设备之上,以便在每个节点之间进行复制 LVM或文件系统放置在drbd卷的顶部 群集服务设置为不自动join群集,依靠手动干预。 群集服务由提供解密密钥的人员启动,这反过来使得LVM(或文件系统)可见但未挂载。 与CLVM设置一样,节点只有在可以看到可能共享的存储之前才join群集。 事情是,我不确定上述任何一种是如何工作的。 两者都假设可以在encryption卷上分层LVM PV(例如pvcreate /dev/mapper/cryptmysql )。 这可能是不可能的。
我写了一个厨师LWRP添加一个密钥到一个LUKS容器,我很难想出一个方法来确定我的密钥是否已经存在。 cryptsetup luksAddKey会高兴地多次添加相同的密钥文件,所以我不能简单地保持调用每个厨师运行luksAddKey 。 到目前为止,我所提出的最好的是 cryptsetup luksDump /dev/xvdf1 –dump-master-key –key-file <thenewkey> > /dev/null 那看起来: CPU密集型 不是很安全 任何人有更好的主意? 谢谢!
我有一个系统,显示来自摄像头饲料的video覆盖,它必须启动没有任何用户干预(越快越好)。 但是,这些系统将在客户手中,所以我们担心逆向工程。 操作系统(Linux),软件和日志存储在mSATA SSD上。 CPU是4GB内存的第四代酷睿i3。 基本上,我们如何防止任何不道德的客户或竞争对手简单地删除SSD和窃取我们的应用程序代码? 显而易见的答案是encryption驱动器,但它需要无人值守启动。 下一个合乎逻辑的步骤是在运行时解密软件,但是您仍然需要将解密密钥存储在纯文本中的某个地方? 有一个板载TPM模块,这可能是一个解决scheme,但我找不到任何好的文档使用它。 我愿意接受任何和所有的build议。
我正在阅读这个桑巴手册页 ,据此可以设置TLS。 我有两个问题。 在服务器端,TLS选项需要证书和密钥的path? 这在客户端如何工作? 我怎么能看到它会与TLS谈判? 它不像在Web浏览器中显示绿色的挂锁。 我们有几个Windows机器,我们在Ubuntu 14.04上运行Samba来共享文件。 目前运行Samba版本4.3.9。
在亚马逊AWS上,我应该对虚拟私有云中的实例之间的敏感stream量进行encryption吗? 更具体地说,是在虚拟networking中的私有的VPC中的实例之间的stream量,还是可以被拦截? 在文档中找不到这个信息。
我正在阅读在SSH中使用的algorithm ,我试图找出哪一个是当前的“推荐”,或者至less是哪个目标受众。 我应该确保我的SSH密钥是1.0兼容? 我应该使用1024位还是2048? 是2048慢两倍? 对于敏感用途来说有些更好 – 而其他用于不断的数据传输?
如何使用由LetsEncrypt生成的证书文件与Neo4j实例一起使用? 由LetsEncrypt生成的文件是: cert.pem chain.pem fullchain.pem privkey.pem 我试过通过OpenSSL进行转换,目前还没有运气,使用从PEM到DER的转换。 Neo4j抱怨在开始时没有find证书。 问题是如何将LetsEncrypt证书转换成Neo4j可以使用的东西。 安装细节: 证书放置在名为neo4j.{cert,key} ,权限为600 ,由neo4j:nogroup拥有的/var/lib/neo4j/certificates/ 。 所有这一切似乎都是根据文件 。 在configuration中,我有这一行来指定证书path: dbms.directories.certificates=/var/lib/neo4j/certificates 在configuration中,我也通过启用HTTPS的远程访问: dbms.connector.https.address=0.0.0.0:7473 当重新启动Neo4j时,我得到以下错误信息: WARN Illegal character 0x16 in state=START for buffer HeapByteBuffer@5a260174[p=1,l=193,c=8192,r=192]={\x16<<< SEVERAL_LINES_OF_HEX_JIBBERISH_HERE } WARN badMessage: 400 Illegal character 0x16 for HttpChannelOverHttp@5d682358{r=0,c=false,a=IDLE,uri=-}
让我开始说,我试图设置TDE(透明数据encryption)的SQL Server 2012实例是企业版。 但是,按照MSDN教程教程时,我得到以下行: create database encryption key with algorithm = AES_256 encryption by server certificate TDECertificate 我得到的错误: Msg 33117, Level 16, State 1, Line 6 Transparent Data Encryption is not available in the edition of this SQL Server instance. See books online for more details on feature support in different SQL Server editions. 有人可以告诉我,为什么我会得到这个错误?
我正在玩Windows Server 2012 R2上的testing域。 我正在尽可能高的function级别运行,在我的小testing环境中没有向后兼容性问题。 不过,我已经意识到,尽pipe我支持 Kerberos AES身份validation,但对于任何用户,默认情况下都不启用。 我必须真正进入用户的属性,并检查“此帐户支持Kerberos AES 128位encryption”和/或“此帐户支持Kerberos AES 256位encryption”来启用它。 (我在将testing帐户添加到“受保护的用户”组中时首先意识到这一点,该组将策略设置为需要AES。之后,我所有的networkinglogin都开始失败,直到我检查这些checkbox。 我认为这可能是默认禁用,以确保向后兼容的一些系统,但我找不到一种方法来为所有用户启用此function,甚至解释当前的行为。 有任何想法吗?
我有一个简单的login表单,用户input用户名和密码。 当php通过POST接收到variables时,它将密码encryption为md5,然后将其与数据库logging进行比较。 我的问题是:在发送variables之前,在浏览器中用javascriptencryption密码会更安全吗? 我知道这不是一个万无一失的方法,但会阻止人们networking嗅探我的密码? 或者这是否会以任何方式使密码更脆弱? 谢谢。 顺便说一句,我将用于encryption到MD5的脚本在这里: http : //www.webtoolkit.info/javascript-md5.html